Plusieurs centaines de milliers de pages web auraient été récemment piégées dans le cadre d'une vague d'attaque de sites Internet. Parmi les victimes se trouvent des sites bien connus ou à fort trafic, tel celui d'une agence de l'ONU, le site d'annonces d'emploi lesjeudis.com, le site d'actualité MSNBC.com, mais aussi de nombreux sites gouvernementaux britanniques.

Une fois infectés, ces sites contaminent à leur tour leurs visiteurs en essayant d'installer une série de codes malveillants sur leur PC. Ils tentent pour cela d'exploiter huit vulnérabilités spécifiques, choisies en fonction du navigateur détecté. On retrouve notamment parmi celles-ci la vulnérabilité VML d'Internet Explorer corrigée en janvier dernier.

Une telle attaque présente donc deux étapes : il est d'abord nécessaire d'infecter des pages web sur des sites connus afin qu'elles puissent à leur tour contaminer leurs visiteurs. Car c'est le contrôle des PC de ces derniers qui intéresse les pirates. Ces ordinateurs détournés seront ensuite probablement intégrés à un botnet et utilisés afin de mener des attaques par déni de service, héberger de faux sites web bancaires ou distribuer du spam. Chaque étape de cette attaque repose sur des techniques et des codes malveillants très différents.

Selon l'éditeur d'antivirus F-Secure, tous les sites infectés qu'il a observé fonctionnent sous Microsoft IIS et MS SQL Server. Microsoft a toutefois démenti l'existence d'une vulnérabilité inconnue, et précise qu'il s'agit plutôt d'une très traditionnelle attaque par injection SQL. Un point de vue confirmé par l'équipe du laboratoire de F-Secure, pour qui cette attaque est avant tout le fait "d'applications ASP et .NET mal écrites". Le couple PHP/MySQL est ainsi tout aussi vulnérable à ce type d'attaque, bien que celle-ci semble ne viser que les solutions web de Microsoft.

L'infection des sites repose sur une erreur de développement imputable aux développeurs des scripts ou des systèmes de gestion de contenu utilisés pour mettre les pages web à jour (CMS). Les attaquants soumettent pour cela un contenu piégé à un champs de saisie trouvé sur le site, tel un formulaire de recherche ou de contact. Ils ajoutent à la requête légitime des instructions supplémentaires. Si le site ne filtre pas correctement cette entrée, la base de données située derrière le serveur web exécutera alors certes la demande initiale, mais aussi les instructions supplémentaires.

Dans le cadre de cette attaque particulière, ces instructions ordonnent à la base de données de rechercher tous les champs de texte qu'elle contient (souvent le contenu d'articles) et d'y ajouter une ligne supplémentaire. "Il s'agit d'une simple instruction HTML de type iframe qui référence un serveur situé en Chine. Lorsque le texte présent dans la base de données sera affiché à l'écran, le navigateur de l'internaute ira silencieusement chercher un code exécutable Javascript sur ce serveur et l'exécutera", précise Dominique Loiselet, Directeur Général de Websense France et EMEA. C'est ce code qui, ensuite, tentera de corrompre le navigateur de l'internaute et d'infecter son PC. D'après Websense toujours, toutes les vulnérabilités exploitées ici sont déjà corrigées. Un navigateur parfaitement à jour ne sera ainsi pas vulnérable.

L'attaque serait actuellement sur le déclin, mais de nombreux sites demeurent infectés. "Il est difficile de connaître exactement le nombre de sites web détournés de la sorte. Mais nous observons que l'attaque a tendance à diminuer désormais, probablement à cause de l'attention médiatique qu'elle a suscité", poursuit Dominique Loiselet. L'éditeur Panda Antivirus faisait état de 282.000 pages web infectées au plus fort de l'attaque, tandis que F-Secure annonce 500.000 pages.

Les pirates à l'origine de l'attaque semblent avoir utilisé Google pour identifier leurs cibles. Selon l'expert italien Giorgio Maone, ils ont recherché à l'aide d'un outil automatique l'expression inurl:".asp" inurl:"a=" qui permet de trouver des pages web en ASP qui acceptent un paramètre. A l'heure de la rédaction de cet article, la même recherche renvoie plus de sept millions de résultats. Bien que tous ne soient pas vulnérables, ni même exploitables pour certains, cela montre combien ce type d'attaque a de beaux jours devant lui.

Lutter contre une telle attaque implique des techniques différentes selon que l'on est un internaute ou le responsable d'un site web.

Pour l'internaute :

• Un système (OS et navigateur) parfaitement à jour des correctifs de sécurité
• Une protection spécifique du poste de travail. On pense bien entendu à l'antivirus, mais il existe aussi des logiciels de "bac à sable" qui isolent le navigateur du reste de l'ordinateur, des HIPS qui interdisent l'installation d'exécutables inconnus ou au comportement suspect, ou encore, pour Firefox, le supplément gratuit "NoScript", qui permet d'interdire l'exécution de Javascript à tout site non autorisé. Avantage de NoScript : il demeure efficace même si un site de confiance est détourné, car il identifie l'origine du code Javascript, plutôt que seulement se fier à l'adresse du site visité.

Pour le responsable de site web :

• Des scripts sûrs : il est temps d'auditer, ou faire auditer, le code des scripts développés par le stagiaire l'été dernier.
• Un filtrage applicatif : qu'il s'agisse de Mod Security pour Apache, d'un logiciel commercial spécialisé (tel Secerno.SQL ou Sentrigo) ou d'une appliance (Imperva), peu importe, mais une couche de filtrage web et/ou SQL est souvent bienvenue. Elle ne garantira pas l'immunité mais aidera à repousser une majorité d'attaques.
• De la ré-écriture d'URL : l'URL Rewriting permet de ne pas exposer à Google la mécanique de ses URL. Ainsi l'adresse /a/1234/ est-elle moins susceptible d'être choisie par un outil automatique que index.asp?a=1234